Thông tin các mối đe dọa bảo mật trong tháng 07 – 2021

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1     Các mối đe dọa nâng cao – Advanced Threats

1.1     Tin tặc Trung Quốc sử dụng lỗ hổng zero-day mới của SolarWinds trong các cuộc tấn công APT

Các tin tặc Trung Quốc từng nhắm vào các công ty phần mềm và quốc phòng Mỹ hiện nay đang thực hiện các cuộc tấn công vào các tổ chức sử dụng SolarWinds Serv-U FTP server bằng các lỗ hổng zero-day, theo Microsoft.

Các chuyên gia của Microsoft Threat Intelligence Center (MSTIC) quy trách nhiệm cho các cuộc tấn công này cho một nhóm hacker Trung Quốc tên là DEV-0322 dựa trên chiến thuật tấn công mà họ quan sát được.

Lỗ hổng đang được khai thác là CVE-2021-35211, gần đây đã được công bố bản vá bởi SolarWinds, lỗ hổng tồn tại trong quá trình triển khai giao thức Secure Shell (SSH) của Serv-U. Nếu giao thức Secure Shell (SSH) của Serv-U được kết nối với internet, tin tặc có thể chạy mã tùy ý từ xa với các đặc quyền, cho phép chúng thực hiện các hành động như cài đặt và chạy các tải trọng độc hại hoặc xem và thay đổi dữ liệu.

DEV-0322 là ai?

MSTIC theo dõi và điều tra một loạt các chiến dịch và hoạt động độc hại trên không gian mạng. Trong giai đoạn theo dõi và điều tra, trước khi MSTIC đạt được độ chiến dịch, MSTIC gọi tác nhân đe dọa không xác định là “nhóm phát triển” hoặc “nhóm DEV” và chỉ định mỗi nhóm DEV là một số (DEV – ####) cho mục đích theo dõi.

MSTIC đã quan sát thấy DEV-0322 nhắm mục tiêu vào các thực thể trong nhóm Cơ sở Công nghiệp Quốc phòng Hoa Kỳ và các công ty phần mềm. Nhóm hoạt động này có trụ sở tại Trung Quốc và sử dụng các giải pháp VPN thương mại, tận dụng các bộ định tuyến bị xâm phạm làm cơ sở hạ tầng hoạt động.

Indicators of compromise (IOCs)

  • 98[.]176[.]196[.]89
  • 68[.]235[.]178[.]32
  • 208[.]113[.]35[.]58
  • 144[.]34[.]179[.]162
  • 97[.]77[.]97[.]58
  • hxxp://144[.]34[.]179[.]162/a
  • C:\Windows\Temp\Serv-U.bat
  • C:\Windows\Temp\test\current.dmp

1.2    Nhóm APT của Triều Tiên Kimsuky bị cáo buộc tấn công vào Cơ quan nghiên cứu nguyên tử KAERI của Hàn Quốc

Kimsuky APT — còn được gọi là Thallium, Black Banshee và Velvet Chollima — là một nhóm tấn công đến từ Triều Tiên đã hoạt động từ năm 2012. Nhóm này tiến hành các hoạt động gián điệp mạng nhằm vào các tổ chức chính phủ chủ yếu ở Hàn Quốc. Vào tháng 12 năm 2020, KISA (Cơ quan An ninh & Internet Hàn Quốc) đã đưa ra báo cáo phân tích chi tiết về cơ sở hạ tầng và chiến thuật được Kimsuky sử dụng để nhắm mục tiêu vào Hàn Quốc.

Nhóm Malwarebytes Threat Intelligence đã phát hiện ra các trang web lừa đảo, tài liệu độc hại và tập lệnh đã được Kimsuky sử dụng để nhắm mục tiêu những nhà lãnh đạo trong chính phủ Hàn Quốc dựa trên việc quan sát các chiến thuật, kỹ thuật được sử dụng trong các hoạt động gần đây giống với báo cáo của KISA.

Cơ sở hạ tầng của kẻ tấn công

Nhóm tấn công có khả năng thiết lập cơ sở hạ tầng bằng cách bắt chước các trang web nổi tiếng và lừa nạn nhân nhập thông tin đăng nhập của họ. Đây là một trong những phương pháp chính được sử dụng bởi Kimsuky để thu thập các địa chỉ email mà sau này sẽ được sử dụng để gửi các email lừa đảo. Hiện nay nhóm này vẫn đang sử dụng các mô hình lừa đảo tương tự đã được đề cập trước đó trong báo cáo của KISA.

Mô hình tấn công của Kimsuky

Theo quan sát của MalwareByte, các nền tảng mà nhóm này giả mạo để lừa đảo bao gồm: Gmail, Hotmail, Microsoft Outlook, Nate, Daum, Naver, Telegram, KISA.

Dưới đây là một số URL giả mạo được Kimsuky sử dụng để lừa người dùng:

  • http://accounts[.]goggle[.]hol[.]es/MyAccount
  • https://myaccount[.]google[.]newkda[.]com/signin
  • http://myaccount[.]google[.]newkda[.]com/signin
  • http://myaccount[.]google[.]nkaac[.]net/signin
  • https://myaccounts-gmail[.]autho[.]co/signin
  • http://myaccounts-gmail[.]kr-infos[.]com/signin
  • http://myaccount[.]cgmail[.]pe[.]hu/signin
  • https://accounts[.]google-manager[.]ga/signin
  • https://accounts[.]google-signin[.]ga/v2
  • https://myaccount[.]google-signin[.]ga/signin
  • https://account[.]grnail-signin[.]ga/v2
  • https://myaccount[.]grnail-signin[.]ga/v2
  • https://myaccounts[.]grnail-signin[.]ga/v2
  • https://accounts[.]grnail-signin[.]ga/v2
  • https://protect[.]grnail-signin[.]ga/v2
  • https://accounts[.]grnail-signing[.]work/v2
  • https://myaccount[.]grnail-signing[.]work/v2
  • https://myaccount[.]grnail-security[.]work/v2
  • https://signin[.]grnail-login[.]ml
  • https://login[.]gmail-account[.]gq
  • https://signin[.]gmrail[.]ml
  • https://login[.]gmeil[.]kro[.]kr
  • https://account[.]googgle[.]kro[.]kr

Nhóm này cũng đang sử dụng tài khoản Gmail để tấn công lừa đảo hoặc đăng ký tên miền. Một trong những tài khoản Gmail mà nhóm này sử dụng là ”tjkim1991@gmail[.]com” được sử dụng để đăng ký các miền sau:

  • ns1.microsoft-office[.]us
  • ns2.microsoft-office[.]us

Indicators of compromise (IOCs)

  • 210.16.120[.]34
  • 216.189.157[.]89
  • 45.58.55[.]73
  • 45.13.135[.]103
  • 27.102.114[.]89
  • 210.16.121[.]137
  • 58.229.208[.]146
  • 27.102.107[.]63
  • download.riseknite[.]life
  • onedrive-upload.ikpoo[.]cf
  • alps.travelmountain[.]ml
  • texts.letterpaper[.]press

1.3    WildPressure tấn công vào nền tảng macOS bằng loại mã độc mới

WildPressure được phát hiện lần đầu tiên vào tháng 8 năm 2019 khi các nhà nghiên cứu phát hiện một phần mềm độc hại chưa từng thấy, có tên là Milum, không có điểm tương đồng với các mẫu khác được các chuyên gia phân tích. Gần đây, các nhà nghiên cứu từ Kaspersky đã phát hiện ra một phần mềm độc hại mới được nhóm WildPressure APT sử dụng để nhắm mục tiêu vào các hệ thống Windows và cả macOS. Các tổ chức nạn nhân là các tổ chức trong ngành dầu khí ở khu vực Trung Đông.

Mẫu mã độc mới bao gồm C++ Milum Trojan là một biến thể VBScript tương ứng với phiên bản Milum 1.6.1 và một tập hợp các mô đun bao gồm một orchestrator và ba plugins. Ngoài ra nhóm tấn công này còn sử dụng ngôn ngữ Python để tạo ra mô đun độc hại PyInstaller được phát triển cho cả hệ điều hành Windows và macOS.

  • Python multi-OS Trojan:

o   Tên file: svchost.exe

o   Kích thước: 3.3MB

o   Kiểu file: PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows

o   Chức năng: thu thập thông tin về hệ điều hành Windows và macOS, ngoài ra còn liệt kê các tiến trình đang chạy trên macOS, nhận lệnh từ C&C server, tự cập nhật, tự xóa dấu vết.

  • Biến thể tự giải mã VBScript:

o   Tên file: l2dIIYKCQw.vbs

o   Kích thước: 51KB

o   Kiểu file: VBScript tự giải mã

o   Chức năng: tương tự Python multi-OS Trojan nhưng chỉ hoạt động trên hệ điều hành Windows

  • Orchestrator

o   Tên file: winloud.exe

o   Kích thước: 87KB

o   Kiểu file: PE32 executable (console) Intel 80386, for MS Windows

o   Chức năng: Sử dụng chức năng hẹn giờ chạy 2 phút một lần và phân tích cú pháp trong file cấu hình để thực thi plugin tương ứng

  • Mã độc C++ dựa trên plugin:

o   Plugin fingerprinting: GetClientInfo.dll

o   Plugin keylogging: Keylogger.dll

o   Plugin screenshotting: ScreenShot.dll

Indicators of compromise (IOCs)

  • hxxp://adelice-formation[.]eu
  • hxxp://ricktallis[.]com/news
  • hxxp://whatismyserver123456[.]com
  • hxxp://www.glisru[.]eu
  • hxxp://www.mozh[.]org
  • 107.158.154[.]66
  • 185.177.59[.]234
  • 37.59.87[.]172
  • 80.255.3[.]86
  • 139.59.250[.]183
  • mwieurgbd114kjuvtg[.]com
  • 2bb6d37dbba52d79b896352c37763d540038eb25
  • fb7f69834ca10fe31675bbedf9f858ec45c38239
  • c34545d89a0882bb16ea6837d7380f2c72be7209
  • FA50AC04D601BB7961CAE4ED23BE370C985723D6
  • CD7904E6D59142F209BD248D21242E3740999A0D
  • 872FC1D91E078F0A274CA604785117BEB261B870

1.4    APT có liên hệ với nhà nước Nga nhắm mục tiêu người dùng LinkedIn thông qua lỗ hổng zero-day trong Safari

Các chuyên gia bảo mật của Google tiết lộ rằng nhóm APT có liên hệ với nhà nước Nga nhắm mục tiêu người dùng LinkedIn thông qua lỗ hổng zero-day trong Safari. Các nhà nghiên cứu bảo mật từ nhóm phân tích mối đe dọa của Google (TAG) và Google Project Zero tiết lộ rằng bốn lỗ hổng zero-day đã bị khai thác từ đầu năm nay.

Bốn lỗ hổng bảo mật này được phát hiện vào đầu năm nay và ảnh hưởng đến trình duyệt Google Chrome, Internet Explorer và WebKit, bao gồm

  • CVE-2021-1879: Lỗ hổng bộ nhớ Use-After-Free trong thành phần QuickTimePluginReplacement
  • CVE-2021-21166: Lỗ hổng Object Lifecycle trong thành phần âm thanh của trình duyệt Chrome
  • CVE-2021-30551: Lỗ hổng Type Confusion trong công cụ JavaScript mã nguồn mở V8 trong trindh duyệt Chrome
  • CVE-2021-33742: Lỗ hổng ghi ngoài biên trong thành phần MSHTML của trình duyệt Internet Explorer

Các lỗ hổng này được sử dụng trong ba chiến dịch tấn công khác nhau, nhưng có điểm chung là các lỗi này đề được phát triển bởi một công ty chuyên bán lỗ hổng bảo mật. Lỗ hổng CVE-2021-1879 được sử dụng bởi một nhóm tin tặc có liên hệ với nhà nước Nga.

Google cho biết: “Bốn lỗ hổng 0-day được sử dụng như một phần của ba chiến dịch khác nhau. Sau khi phát hiện ra những lỗi này, chúng tôi đã nhanh chóng báo cáo với nhà cung cấp và phát hành các bản vá bảo mật để bảo vệ người dùng khỏi các cuộc tấn công. Các bằng chứng cho thấy, các lỗ hổng này đều được phát triển bởi một công ty chuyên bán lỗ hổng bảo mật. Ít nhất hai nhóm tin tặc được chính phủ Nga hậu thuẫn đã mua lỗ hổng từ công ty này.”

Theo thống kê của Google, từ đầu năm đến nay, có khoảng 33 lỗ hổng 0-day bị tin tặc khai thác trong thực tế, cao hơn rất nhiều so với cả năm 2020 với tổng số lỗ hổng 0-day bị khai thác chỉ là 22.

Thống kê lỗ hổng 0-day được phát hiện theo từng năm

CVE-2021-1879 tồn tại trong thành phần WebKit, bị khai thác bởi nhóm gián điệp mạng có liên kết với nhà nước Nga. Kẻ tấn công khai thác lỗ hổng bằng cách lừa nạn nhân truy cập vào một trang web độc hại để kích hoạt tấn công XSS.

Trong bản tin bảo mật tháng 3, bản thân Apple cũng thừa nhận lỗ hổng này bị khai thác trong thực tế và phát hành bản vá dành cho các thiết bị iOS, iPadOS, macOS và watchOS ngay sau đó. Đồng thời, các nhà nghiên cứu của Google cũng xác định lỗ hổng này được sử dụng trong các cuộc tấn công nhắm vào các cơ quan chính phủ của các nước Tây Âu.

Google nêu rõ: “Trong chiến dịch này, những kẻ tấn công đã sử dụng tin nhắn LinkedIn để nhắm mục tiêu vào quan chức chính phủ từ các nước Tây Âu bằng cách gửi cho họ các liên kết độc hại. Nếu mục tiêu truy cập liên kết từ thiết bị iOS, chúng sẽ được chuyển hướng đến tên miền do kẻ tấn công kiểm soát để phát tán mã độc. Thời gian bắt đầu của chiến dịch này trùng hợp với thời gian phát động cuộc tấn công nhắm vào thiết bị Windows nhằm lây lan Cobalt Strike. Điều đáng nói, theo phân tích của Volexity hai chiến dịch này đều được phát động bởi một nhóm tin tặc.”

Trong khi Google không quy các cuộc tấn công này cho một nhóm tin tặc APT nào, thì Microsoft tiết lộ Nobelium là nhóm tin tặc đứng đằng sau chiến dịch này

NOBELIUM APT được biết đến là nhóm tin tặc đã tiến hành cuộc tấn công chuỗi cung ứng SolarWinds với các công cụ tấn công nổi tiếng như SUNBURST backdoor, phần mềm độc hại TEARDROP, phần mềm độc hại GoldMax, Sibot và GoldFinder backdoor.

Indicators of compromise (IOCs)

Chrome: CVE-2021-21166 and CVE-2021-30551

  • lragir[.]org
  • armradio[.]org
  • asbares[.]com
  • armtimes[.]net
  • armlur[.]org
  • armenpress[.]org
  • hraparak[.]org
  • armtimes[.]org
  • hetq[.]org

Internet Explorer: CVE-2021-33742

  • Examples of related Office documents uploaded to VirusTotal:

o   https://www.virustotal.com/gui/file/656d19186795280a068fcb97e7ef821b55ad3d620771d42ed98d22ee3c635e67/detection

o   https://www.virustotal.com/gui/file/851bf4ab807fc9b29c9f6468c8c89a82b8f94e40474c6669f105bce91f278fdb/detection

  • Unique URLs serving CVE-2021-33742 Internet Explorer exploit:

o   http://lioiamcount[.]com/IsnoMLgankYg6/EjlYIy7cdFZFeyFqE4IURS1

o   http://db-control-uplink[.]com/eFe1J00hISDe9Zw/gzHvIOlHpIXB

o   http://kidone[.]xyz/VvE0yYArmvhyTl/GzV

  • Word documents with the following classid:

o   {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}

  • Related infrastructure:

o   workaj[.]com

o   wordzmncount[.]com

WebKit (Safari): CVE-2021-1879

  • supportcdn.web[.]app
  • vegmobile[.]com
  • 111.90.146[.]198

2    Malware

3    CVE và các khuyến nghị bảo mật

3.1    Microsoft Patch Tuesday – July 2021

Trong tháng 7 năm 2021, Microsoft đã phát hành các bản vá cho 117 CVE liên quan đến Microsoft Windows, Dynamics, Exchange Server, Microsoft Office, Windows Storage Spaces Controller, Bing, SharePoint Server, Internet Explorer (IE), Visual Studio và OpenEnclave. Trong số 117 lỗ hổng này, 13 lỗi được đánh giá là Nghiêm trọng (Critical), 103 lỗi được đánh giá là Quan trọng (Important) và một lỗi được đánh giá là Trung bình (Moderate) về mức độ nghiêm trọng (severity). Số lượng các bản vá lần này nhiều hơn hai tháng trước cộng lại. Theo Microsoft, 6 trong số những lỗ hổng này đã được biết đến công khai và 4 lỗ hổng được liệt kê là đang bị tấn công tích cực tại thời điểm phát hành.

Hãy cùng xem xét kỹ hơn một số bản cập nhật nổi bật trong số đó!

3.1.1    CVE-2021-34527

Lỗ hổng thực thi mã từ xa (RCE) trên Windows Print Spooler

CVSS v3.0: 8.8

Mô tả: Lỗ hổng cho phép người dùng từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong hàm RpcAddPrinterDriverEx(). Người dùng từ xa có thể gửi một yêu cầu được tạo ra đặc biệt tới Windows Print Spooler và thực thi mã tùy ý với đặc quyền SYSTEM. Việc khai thác thành công lỗ hổng này có thể dẫn đến sự xâm phạm hoàn toàn hệ thống.

Lỗ hổng này đã được nhiều bài viết phân tích và đặt tên là PrintNightmare. Vào ngày 1/7 vừa qua, Microsoft đã phát hành bản vá Out-of-Band (OOB) cho lỗi này và tiếp tục cập nhật nhiều lần sau đó. Đã có báo cáo cho rằng bản vá không hiệu quả, tuy nhiên phía Microsoft khẳng định nó vẫn hoạt động, miễn là các registry key được cung cấp có giá trị chính xác.

Hệ thống bị ảnh hưởng:

Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1

Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị:

Cần đảm bảo các registry key được định cấu hình chính xác và ngay lập tức triển khai bản vá của nhà cung cấp. Tắt dịch vụ Print Spooler khi không cần thiết, hạn chế việc cài đặt printer driver với người dùng thông thường.

3.1.2   CVE-2021-34458

Lỗ hổng thực thi mã từ xa (RCE) trên Windows Kernel.

CVSS v3.0: 9.9

Mô tả: CVE-2021-34458 là một trong số rất hiếm hoi lỗ hổng xảy ra trên kernel bug (Windows Kernel). Lỗ hổng ảnh hưởng đến các hệ thống lưu trữ máy ảo với thiết bị single root input/output virtualization (SR-IOV). Cụ thể, nó cho phép một thiết bị SR-IOV được phân phối cho một guest có khả năng can thiệp vào các thiết bị Peripheral Component Interface Express (PCIe) được gắn với guest khác hoặc với root.

Bạn sẽ dễ bị tổn thương bởi lỗ hổng này nếu:

  • Hệ thống Windows của bạn đang lưu trữ máy ảo
  • Server của bạn có chứa phần cứng được yêu cầu kết nối với thiết bị SR-IOV

Hiện chưa rõ mức độ phổ biến của cấu hình này, tuy nhiên với điểm CVSS rất cao, thì đây là lỗ hổng không thể bỏ qua.

Hệ thống bị ảnh hưởng: 

Windows Server: 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị: Cập nhật bản vá từ trang chủ của nhà cung cấp.

3.1.3    CVE-2021-34448

Lỗ hổng gián đoạn bộ nhớ (Memory Corruption) với Scripting Engine

CVSS v3.0: 6.8

Mô tả: Lỗ hổng này được liệt kê là đang bị khai thác tích cực, nhưng không có dấu hiệu nào cho thấy mức độ lan rộng của cuộc tấn công. Lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý trên một hệ thống bị ảnh hưởng nếu người dùng truy cập đến một trang web được chế tạo đặc biệt. Việc thực thi mã xảy ra ở cấp độ người dùng đã đăng nhập (logged-on user). Đây là trường hợp mà điểm CVSS không hoàn toàn cung cấp một cái nhìn thực sự về mối đe dọa. Microsoft liệt kê mức độ phức tạp của cuộc tấn công là cao, tuy nhiên điểm CVSS chỉ đạt trung bình (6,8). Bất kể điểm CVSS được đánh giá trung bình, cũng cần lưu ý đây là lỗ hổng có thể cho phép thực thi mã trên mọi phiên bản Windows được hỗ trợ.

Hệ thống bị ảnh hưởng: 

Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1

Windows Server: 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Microsoft Internet Explorer: 11

Khuyến nghị: Cập nhật bản vá từ trang chủ của nhà cung cấp.

3.1.4   CVE-2021-34494

Lỗ hổng thực thi mã từ xa (RCE) trên Windows DNS Server 

CVSS v3.0: 8.8

Mô tả: Lỗ hổng này hiện không bị tấn công tích cực, nhưng vẫn được Microsoft đánh giá là nghiêm trọng (critical). Lỗ hổng có thể cho phép thực thi mã từ xa ở mức dịch vụ đặc quyền (privileged service level) trên listening network port mà không cần sự tương tác của người dùng. Microsoft đề xuất nên duy trì mức đặc quyền thấp, tuy nhiên tùy thuộc vào cấu hình server, những đặc quyền này cũng có thể bị chiếm đoạt.

Hệ thống bị ảnh hưởng: 

Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị: Cập nhật bản vá của nhà cung cấp.

3.2   Ứng dụng web và các sản phẩm khác

3.2.1   GHSL-2021-034_043: Các lỗ hổng thực thi mã từ xa (RCE) trên Apache Dubbo

Tóm lược

Nhiều lỗ hổng đã được tìm thấy trong Apache Dubbo cho phép kẻ tấn công xâm nhập và chạy các lệnh hệ thống tùy ý trên cả hệ thống người dùng và nhà cung cấp Dubbo. POC của các lỗ hổng này đã được tiết lộ và rủi ro được đánh giá là cao (high).

Danh sách các CVE:

CVE-2021-25641: Lỗ hổng vô hiệu hóa giao thức Hessian2. Kẻ tấn công có thể sử dụng các giao thức thay thế để vượt qua Hessian2 allowlist và tiến hành vô hiệu hóa hệ thống.

CVE-2021-30179: Lỗ hổng thực thi mã từ xa trên bộ lọc Generic. Theo đó, bộ lọc Apache Dubbo Generic không phát hiện đúng mã độc hại (malicious code). Điều này cho phép kẻ tấn công tạo ra các request độc hại để gọi các phương thức độc hại và thực thi mã từ xa.

CVE-2021-32824: Lỗ hổng thực thi mã từ xa trên Telnet Handler. Khi Apache Dubbo Telnet Handler xử lý các yêu cầu, nó cho phép kẻ tấn công gọi các phương thức độc hại để thực thi mã từ xa.

CVE-2021-30180: Lỗ hổng vô hiệu hóa YAML. Apache Dubbo sử dụng yaml.load, cho phép kẻ tấn công tải lên các tệp cấu hình độc hại sau khi kiểm soát trung tâm đăng ký ZooKeeper, làm vô hiệu hóa YAML.

CVE-2021-30181: Lỗ hổng thực thi mã từ xa với tập lệnh Nashorn. Kẻ tấn công có thể tạo ra các request độc hại để inject các tập lệnh Nashorn sau khi kiểm soát trung tâm đăng ký ZooKeeper, gây ra lỗ hổng thực thi mã từ xa.

Sản phẩm bị ảnh hưởng: 

Apache Dubbo phiên bản sau 2.6.10 và trước 2.7.10

Apache Dubbo phiên bản trước 2.6.10

Sản phẩm an toàn:

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

Khắc phục:

Lỗ hổng này đã được khắc phục trong các phiên bản mới phát hành. Nếu phiên bản dịch vụ mà bạn đang sử dụng thuộc phạm vi bị ảnh hưởng, hãy nâng cấp lên phiên bản bảo mật mới nhất tại: https://github.com/apache/dubbo/releases

Lưu ý: Trước khi tiến hành sửa các lỗ hổng này, hãy sao lưu toàn bộ tệp của bạn và tiến hành kiểm tra kỹ lưỡng.

3.2.2   Lỗ hổng đọc tệp tùy ý trên hệ thống Dell Wyse Management Suite (CVE-2021-21586, CVE-2021-21587)

Nhà cung cấp: Dell (URL: https://www.dell.com/support/home/en-us/product-support/product/wyse-wms/drivers)

Hệ thống bị ảnh hưởng: Wyse Management Suite trước phiên bản 3.3

Risk: High – có thể dẫn đến việc chiếm đoạt các phiên quản trị (administrative session)

Tổng quan:

Các máy tính người dùng có cấu hình tối thiểu (thin client) thường an toàn hơn do chúng không có ổ đĩa nên giảm thiểu các rủi ro bảo mật vật lý. Wyse Management Suite (WMS) đóng vai trò hub trung tâm cho phần cứng thin client của Dell, cung cấp cấu hình tập trung. Giao diện web Wyse Management Suite và các dịch vụ cấu hình được sử dụng bởi Thin Client khi khởi động (on boot) là các bộ phận của cùng một ứng dụng web, do đó, ứng dụng web này là một trong số ít dịch vụ phải được tiếp xúc với edge network connection.

Trên các phiên bản WMS bị ảnh hưởng, kẻ tấn công có thể truy xuất các tệp tùy ý từ server, bao gồm thông tin xác thực cơ sở dữ liệu (database credential) và tệp cơ sở dữ liệu chứa dữ liệu phiên (session data) của người dùng quản trị.

Vị trí

End point /ccm-web/image/os chấp nhận một tham số filePath và fileName, có thể truy xuất tệp từ bất kỳ đâu trên hệ điều hành, ví dụ như GET /ccm-web/image/os filePath=c:\windows\&fileName=win.ini

Việc khai thác được hỗ trợ bởi một endpoint thứ hai nhằm tiết lộ đường dẫn cài đặt (installation path) của sản phẩm thông qua thông báo lỗi.

Tấn công

Kẻ tấn công có quyền truy cập vật lý vào một thin client và kết nối mạng của thin client, có thể khai thác lỗ hổng này để giành quyền truy cập vào giao diện quản trị của toàn bộ thin client.

Mô tả chi tiết

Kẻ tấn công sử dụng man-in-the-middle attack để đánh cắp ID thiết bị của một thin client Wyse, nhằm chiếm quyền xác thực vào một endpoint dễ bị tấn công. Vì WMS được sử dụng để cung cấp TLS certificate, việc giao tiếp giữa một thin client và WMS thường được thực hiện thông qua TLS mà không có xác thực server certificate.

Với một ID thiết bị hợp lệ, kẻ tấn công có thể thực hiện yêu cầu đến các endpoint dễ bị tấn công, trước tiên để lấy đường dẫn cài đặt của phần mềm:

PUT /ccm-web/image/pull/a/b HTTP/1.1

Host: [redacted]

X-Stratus-device-id:wyse106[redacted]3149

Kết quả dẫn đến lỗi sau đây, tiết lộ đường dẫn nội bộ:

HTTP/1.1 500

Cache-Control: private

Expires: Thu, 01 Jan 1970 00:00:00 GMT

Set-Cookie: JSESSIONID=4443165646FDA1BA417D08917BFD17C7; Path=/ccm-web; Secure; HttpOnly

X-Content-Type-Options: nosniff

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: Thu, 01 Jan 1970 00:00:00 GMT

Content-Type: text/plain;charset=UTF-8

Content-Length: 107

Date: Fri, 16 Apr 2021 10:51:51 GMT

Connection: close

E:\Program Files\DELL\Software\repository\imagePull\staging\a\b (The system cannot find the path specified)

Sau đó, gửi yêu cầu đến endpoint dễ bị tấn công để truy xuất tệp:

GET /ccm-web/image/os?filePath=E:\Program Files\DELL\WMS\Database\SQL\stratus&fileName= persistentlogin.ibd HTTP/1.1

Host: [redacted]

X-Stratus-device-id:wyse106[redacted]3149

 

Kết quả, kẻ tấn công có thể truy xuất bảng cơ sở dữ liệu MySQL được nhúng chứa session token cho người dùng đã xác thực của WMS. Việc trích xuất giá trị cookie JSESSIONID từ bảng này cho phép chiếm quyền điều khiển phiên (session hijacking).

Các tệp khác mà kẻ tấn công quan tâm bao gồm:

Đường dẫn Chứa
{install_path}\Tomcat-9\webapps\ccm-web\WEB-INF\classes\bootstrap.properties Thông tin đăng nhập cơ sở dữ liệu được mã hóa bằng khóa cố định (fixed key)
{install_path}\Database\SQL\stratus\person.ibd Mật khẩu của quản trị viên WMS, đã băm SHA256 (MD5)

Khắc phục: Nâng cấp lên Wyse Management Suite v3.3